攻擊者可以在不適用惡意程序的情況下大規模盜取用户憑證

美國聯邦調查局 (FBI) 在其最新的年度報告中確定，2020 年商業電子郵件泄露 (BEC)  和個人電子郵件帳户泄露 (EAC)在美國造成的損失至少為 18.6 億美元，比 2019 年報告的損失增加了 5%。BEC和EAC佔美國2020年報告的所有網絡攻擊損失的45%，60歲以上的個人佔報告的受害者的11%。

粗略比較，迄今為止已知的最大勒索軟件損失為 4000 萬美元。 2021 年 Unit 42 勒索軟件 威脅報告 發現，2020 年勒索軟件的平均贖金為 847344 美元，而受害者支付的平均贖金為 312493 美元。 2021 年上半年，平均支付的贖金上漲了 82%，達到 570000 美元。不過這些平均支付贖金的數字是保守的，因為它們只包括支付贖金中的直接金錢損失。還不包括與公司在攻擊期間被運營相關的損失，也不包括調查違規行為所花費的資源。

所有這些攻擊（BEC、EAC 和勒索軟件）都有一個共同點，它們需要具有對目標網絡或帳户的訪問特權。對於大多數攻擊者來説，面對那些擁有普通或低於普通網絡防禦的目標，偽裝成合法用户或通訊員進入網絡或賬户，仍然是獲得祕密訪問權限、同時保持低被發現風險的最簡單、最經濟的方法。通過使用合法憑證和公開可用的技術，惡意行為者可以“逃避防禦，盜取和竊取網絡中的各種信息”。雖然 APT 通過暴力憑證攻擊成功地實現了他們的攻擊目標，但在許多情況下，攻擊者只是要求不知情的受害者交出他們的安全憑證。

電子郵件憑證盜取技術的發展

BEC/EAC 攻擊的利潤豐厚，促使攻擊者不斷修改和升級他們的攻擊策略，以繞過各種保護措施。其中一項較新的技術集成了魚叉式網絡釣魚、自定義網頁和複雜的雲單點登錄生態系統，以誘使用户不經意地泄露其憑證。一種流行的策略是使用看似良性的網頁，一旦打開，就會非常模仿流行和常用服務的合法登錄屏幕，例如：

Dropbox在一份聲明中表示:“這項活動與Dropbox的服務無關。這表明，依賴客户辨別真假的難度越來越大。

當詐騙者使用這種策略時，他們通常會先發送帶有誘餌的電子郵件，誘使收件人打開附件或點擊網頁鏈接。電子郵件通常聚焦於業務運營的某些部分(包括財務、人力資源、物流和一般辦公室運營)，並指向一個與需要用户操作的主題相關的附件或鏈接。這些主題包括匯款、發票、未償付款項、報價請求(RFQ)、購買確認、裝運狀態、語音郵件或通過電子郵件發送傳真等。為了使電子郵件看起來更合法，一些攻擊者以有意義的方式整合了目標的具體信息，包括在電子郵件的主題中。最近的一些郵件主題包括:

一旦打開，電子郵件就會呈現給用户一個典型的登錄頁面。為了降低懷疑，攻擊者經常以加強安全為幌子讓用户註銷賬户。在某些情況下，發送頁面時已經包含了用户的電子郵件地址(再次嘗試提高請求的合法性)，並且只要求輸入密碼。這些誤導性的登錄屏幕會發出警報，例如：

你需要通過電子郵件登錄，以確保你是受保護文件的合法收件人，郵件服務器的文件由“插入安全供應商”保護；

要閲讀該文檔，請輸入此文件發送到的有效電子郵件憑據；

因為你正在訪問敏感信息，因此需要驗證你的密碼；

因為你正在訪問敏感信息，因此需要身份驗證；

無法識別該設備，為了安全起見，公司名稱要真實；

你的電子郵件帳户（用户名）已經註銷，請單擊“確定”以登錄；

請登錄你的帳户以查看受保護的文件；

你已經註銷，請輸入正確的電子郵箱和密碼；

通過登錄 Office 以從任何地方訪問你的文檔；

你的密碼是查看傳真信息的安全密碼。

模擬Microsoft的惡意登錄請求的示例，需要憑證才能訪問文檔

一個惡意登錄請求模擬SharePoint的例子，需要憑證才能訪問文檔

模擬Microsoft的惡意登錄請求的示例，需要憑證才能訪問文檔

攻擊者們還添加了巧妙的策略來進一步欺騙用户。在某些情況下，他們自定義構建他們的“登錄”模板，以匹配他們所針對的特定公司使用的公司電子郵件系統的外觀和感覺。在其他情況下，他們會根據用户電子郵件地址的域部分自動檢測關聯公司，然後將該公司的徽標集成到欺詐網頁中。

JavaScript示例，用於從受害者的電子郵件地址識別組織，然後將其徽標合併到後續頁面中。

此外，許多攻擊者正在他們的代碼中添加邏輯，以確保用户準確輸入憑證。一個格式不正確的電子郵件地址或空白的密碼將產生一個錯誤指示用户重試。攻擊者還會對第一次正確格式化的嘗試自動做出“密碼錯誤，請再試一次”的反應。這些技術增加了攻擊者收到有效密碼的可能性，並可能減少謹慎用户的懷疑，這些用户可能首先輸入假憑證來查看請求是否合法。

用於驗證憑證的 JavaScript 示例

假設詐騙者認為他們讓用户打開文件附件的機會太低，或者他們可以創建一個有點可信的完全限定域名。在這種情況下，他們還可以簡單地將用户指向合法託管服務上的網站，上面的技術都包含在一個託管頁面中。最近用户可能錯誤導航到的一些惡意網站包括：

用户輸入並提交憑證後，Web 瀏覽器會將 HTTP 發佈請求中的信息發送到通常以 *.php 結尾的 URL。作為超文本處理器，PHP 使詐騙者能夠輕鬆捕獲任何收到的憑證，對其進行解碼並將其存儲在數據庫中。此外，雖然攻擊者可以購買和維護支持這些騙局的 Web 域，但我們看到大量使用以前被攻擊和合並的合法域來滿足這些騙子的需求。

這種對合法基礎設施的惡意使用給網絡防禦者帶來了兩個挑戰。首先，識別惡意流量是困難的，因為它發生在兩個潛在的可信網絡之間。其次，一旦識別為惡意活動宿主，阻止合法域名通常是不可能的，因為它也會阻止該域名的合法和經常需要的內容。由於這些原因以及零成本，黑客們越來越多地依靠附加的基礎設施來達到他們想要的目的。

為了防止用户在無法登錄虛假網站時產生懷疑，詐騙者通常會採用以下方法：

重定向到用户認為他們正在登錄的合法網站，如果已經登錄，這會將他們直接帶到他們的帳户中，從而增加他們對請求的合法性的感覺；

“服務不可用錯誤”建議他們稍後再試；

“找不到文件”錯誤；

“掃描文件鎖定”錯誤和“重定向回你的帳户”，然後將用户重定向回其合法收件箱；

通用內容；

為網絡釣魚嘗試定製的內容。

一旦攻擊者竊取了有效的用户憑證，他們就離騙取公司或用户的資金更近了一步。攻擊者將使用盜取到的憑證對用户的文件、交易和通信進行初步偵察。有了這些信息，攻擊者現在可以更好地瞭解以下情況：識別其他價值目標、瞭解正常的業務流程和審批鏈、利用用户的文檔或共享文件訪問權限來創建自定義網絡釣魚文檔，並通過偽裝為帳户用户來使用帳户獲取經濟利益或轉向更有利可圖的環境。

總結

對於企業或用户來説，檢測上述惡意策略可能非常具有挑戰性。此外，大多數網絡安全產品通常不會自動將這些活動檢測為惡意活動，因為詐騙者們在其騙局中使用了合法網頁的精確副本，並沒有將木馬、間諜軟件、鍵盤記錄程序或其他惡意軟件納入他們的盜取嘗試。 Unit 42 研究人員建議採取以下措施來降低上述策略造成的電子郵件泄露風險：

對所有企業和個人帳户實施多因素身份驗證；

不斷更新和培訓用户關於 BEC/個人 EAC 騙局中使用的不斷髮展的策略和社會工程；

不要相信任何鏈接，始終驗證；

確保用户和管理員明白，即使文件成功通過病毒掃描，它仍然可能具有惡意目的；

確保用户瞭解哪些服務是單點登錄以及訪問這些帳户的合法 URL；

定期更改密碼，每個帳户使用一個獨立的複雜密碼，並使用密碼管理器來跟蹤憑證。